← 전체 목록
🔐
Google Cloud KMS
보안암호화 키 중앙 관리
▶아키텍처 다이어그램
💻Application
🗂️Key Ring
🔐Crypto Key
♻️Key Version
🪣Encrypted Data
🪪IAM
📋Audit Log
Press enter or space to select a node. You can then use the arrow keys to move the node around. Press delete to remove it and escape to cancel.
Press enter or space to select an edge. You can then press delete to remove it or escape to cancel.
점선 애니메이션은 데이터 또는 요청의 흐름 방향을 나타냅니다
왜 필요한가요?
데이터를 암호화하려면 키가 필요한데, 이 키를 앱 코드나 환경 변수에 오래 두면 결국 새 비밀을 하나 더 만든 셈이 됩니다. 키 교체와 접근 추적도 수작업이 되기 쉽습니다.
안에서 어떻게 동작하나요?
Cloud KMS는 Key Ring 아래에 Crypto Key와 여러 Key Version을 두고, 애플리케이션은 KMS API로 암복호화를 요청합니다. IAM이 누가 어떤 키를 사용할 수 있는지 제한하고, 키 사용 이벤트는 감사 로그로 남습니다.
무엇과 헷갈리나요?
Cloud KMS와 Secret Manager는 둘 다 민감 정보를 다루지만, KMS는 '암호화 키'를 관리하고 Secret Manager는 '애플리케이션 비밀값'을 저장합니다. 직접 데이터를 암호화해야 하면 KMS, DB 비밀번호나 API 토큰을 배포에 주입해야 하면 Secret Manager가 맞습니다.
왜 이런 방식이 등장했나요?
온프레미스에서는 HSM이나 자체 키 서버를 운영해야 키 분리와 감사 추적이 가능했습니다. 클라우드에서는 저장소와 실행 환경이 다양해지면서, 키만 별도로 중앙 관리하는 서비스가 필수 요소가 되었습니다.
언제 쓰나요?
개인정보, 결제 정보, 규제 대상 데이터를 직접 암호화할 때 적합합니다. 애플리케이션 설정값을 읽기 쉽게 전달하는 문제를 그대로 해결해 주지는 않습니다.
애플리케이션 레벨 암호화키 로테이션감사 추적규정 준수
Official Docs
GCP더 깊게 보기
현재 페이지의 개념 설명을 본 뒤 공식 문서로 바로 이동합니다.